 L'adduction française est un allemand. Pour la prochaine conférence, on rejoint encore un nouvel arrivant dans le zoo de l'insécurité. Il s'agit d'un excellent travail du Citizen Lab. Ils sont même arrivés dans le Christian Science Monitor par le travail. Il y a beaucoup d'ablancement pour Bill Marzak et John Scott Reiltham. Pour cette présentation, les décidents 1 million de dollars et nous... Bonjour tout le monde, est-ce que vous vous arrivez à nous entendre ? Super. Alors, oui, mon objet de promotion. Je suis John Scott Reiltham et je suis ici avec mon collègue Bill Marzak. Nous allons vous présenter une conférence qui s'appelle Les Décidents 1 million de dollars et le reste d'entre nous. Bill Marzak est un associé-seigneur au Citizen Lab. Il a eu son docteur l'année dernière. L'année dernière, pardon. Anne-Herset Berkeley. Quelques appellissements, s'il vous plaît. Bill est également un des fondateurs de Barang Watch qui surveille et qui fait du travail d'activisme sous le barang. Mon collègue est aussi en train de faire son PhD à l'université. Il spécialise dans les menaces de la société civile. Pour ceux qui ne savent pas, nous sommes dans ce grand bâtiment en pierre à Toronto. On a deux aspects principaux dans le travail. Les attaques ciblées sur la société civile et le contrôle de la formation. Cette présentation, on va parler de notre travail sur les menaces spéciales de la société civile. Ça fait longtemps en termes de ordinateurs. C'est académique, c'est indépendant et c'est vraiment notre gain de peint au quotidien. C'est de découvrir, de créer des groupes qui sont vraiment attaqués. Alors comment ça se casse-t-il ? Avec Bill aujourd'hui on va parler de deux attaques. Une qui était un zéro d'ail, une des techniques de finger printing d'infrastructure et comment monter à l'échelle pour l'utilisateur en risque. C'est bien. Alors on dit délicatement cette histoire. Ce monsieur aussi s'appelle Roléa qui l'a dit. Elle est activiste basée, qui l'a collésé à l'UK. En ronde urminie. Il s'est spécialisé dans les doigts humaines, aux émérats terroristes. Donc il a publié une série de documents sur des personnes au placé dans le gouvernement des émérats arabes unis. Il a été si bien récemment, il a reçu ce mail ici de l'envoyer depuis l'adresse The Right to Fight, le droit de se battre à OpenMail.org qui lui dit, monsieur Donac, nous nous ordonnons en ce moment un panel d'experts, nous vous invitons à venir nous rejoindre pour être un membre et vous devriez nous répondre avec votre avis sur l'article suivant avec un lien, avec un nain qui avait l'air assez étrange à Axe.mi. Ça a l'air assez bizarre en fait si on regarde bien. Ah c'est quoi ? Quelqu'un d'ici peut-être pense. Ça peut être une autre présentation après pour des... ce jeune ingénie Raine. Alors c'est vrai John, c'est-à-dire qu'on avait vu ça avant mais ici on va vraiment tomber sur des choses assez intérieures. Axe.mi, ça a l'air assez intriguant. Alors on allait voir de plus près ce site, on s'est rendu compte c'était ce truc qui se prit prétendait être un service de raccourcisseur du réel, un petit peu comme Bit.ly ou des choses comme ça. En fait, il se trouve que un peu de qui pouvait effectivement aller raccourcir le réel sur ce site et ça a renvoyé juste avec une redirection HTTP-300-MEC. Mais le lien qui avait été donné d'Anahi en fait utilisait un système différent qui utilisait une tonne de JavaScript et si il avait utilisé ce lien, ça aurait exécuté une tonne de JavaScript sur le navigateur dont une attaque qui aurait tenté de le dénanamiser si l'utilisateur, une application, une attaque en particulier était capable de deviner où le navigateur Tor était installé, ce qui pourrait révéler le nom de l'utilisateur. Une autre technique très intelligente c'était de scanner les ports de son navigateur pour essayer de deviner l'antivirus qu'il utilisait et peut-être avoir une chance de l'autor passer. Alors du coup il a réussi son mail avec ce lien ax.mit assez étrange mais l'intéressant c'est qu'on a réussi à en avoir plus de la part d'attaquant. On a demandé à d'Anahi d'envoyer une réponse disant merci, c'est beaucoup pour votre message mais je n'arrive pas à ouvrir votre lien. Alors, dans ce cas c'est très inhabituel parce que l'attaquant a effectivement répondu et il a dit oui, désolé, on est désolé que vous ayez un problème. Voici un autre lien où vous pourrez télécharger notre information en pièce vointe mais en fait et en fait on est tellement une organisation secrète qu'on a besoin de le protéger avec de la sécurité macro ingénieur. Donc ils ont demandé de télécharger quelque chose particulier pour l'installer. Voilà ce qu'il a reçu. Voici l'image qu'il a eue quand on lui a ouvert, quand il a regardé le document Word qui lui dit, s'il vous plaît, si le document est sécurisé veuillez exhiber les macros pour lui dire qu'il a eu un logiciel, ça a le beau logo Office 365 ça a le logo proof point ces gens-là font effectivement la sécurité des documents ça a l'air pour l'instant un bon phishing, c'est bien fait. Alors, qu'est-ce qu'il y avait dans la macro ? Ça montrait de l'information mais ça ne faisait pas que ça évidemment. Alors en fait il se trouve que c'était une macro PowerShell assez basique qui a lancé des commandes PowerShell ainsi que la version dotnet installée et ça soumettait de cette information, ça l'envoyait sur un site qui avait l'air assez intéressant adhostingcache.com et qui ensuite récupérait une réponse serveur et il exécutait localement donc on arrivait à cette deuxième réponse du serveur qui installait une tâche et qui toutes les heures récupérait de nouvelles commandes depuis le serveur et les exécutait c'était un autre serveur. Et ensuite, la troisième étape les commandes récupérées par la deuxième étape on a réussi à récupérer quelque chose et il se trouvait que c'était la première commande c'était de récupérer la table ARP qui tenait peut-être d'autres informations dans le réseau pour avoir du mouvement latéral par l'attaqueur et qui également scannait tout l'ordinateur de manière assez agressive pour les données pour données personnelles qui ne me passent et c'est utilisé d'ailleurs du code utilisé de Coisard, qui est un logiciel GBP-3, ne le dites pas Fishing PowerShell Fishing PowerShell, tout ce chose mais je ne suis pas sûr si vous êtes intéressés en parlant ça a l'air assez, c'est vrai que ça l'a peut-être un peu ennuant à marcher sur les activistes en fait, on dirait surtout un problème de santé publique numérique, John en fait, oui nous avons travaillé avec le dernier décadre avec on a travaillé avec ces groupes depuis vraiment un certain temps et pour autant on n'a jamais vu de symétrie se développer entre ces organisations ces organisations se développer et pour qu'elles puissent envoyer facilement leur information en fait, on peut penser à ça, dans le coup d'état les révels devaient capturer la chaîne de télévision et pourtant non, on n'a plus besoin de ça en fait, l'Internet n'a pas changé la symétrie dans le risque et dans le pouvoir qui existe encore à travers l'Internet ce que ça veut dire en pratique c'est que la société civile est encore très vulnérable est encore plus, parce que la majorité de ces organisations, de ces ONG sont vraiment le genre d'environnement où les gens amènent leur propre ordinateur, leur propre téléphone, etc il n'y a absolument pas de départements informatiques il n'y a pas de de réelles sécurité, les gens vont vraiment faire de la sécurité et c'est difficile de changer ces comportements et la documentation sur ces éléments-là est généralement très mal faite et très limitée et ce n'est pas un reproche c'est plutôt que ces gens-là ont vraiment très très peu de temps et ça doit se concentrer sur les objectifs principaux qui n'est généralement pas de protéger leurs ordinateurs donc le résultat qu'on peut prévoir c'est qu'une épidémie de compromis qui est cachée pas de temps caché que ça qu'est-ce qui s'est passé dans l'histoire que nous on racontait alors en fait cette histoire de macro et de PowerShell va nous amener sur un 0D de IOS alors ça va que ça m'intéresse ? Alors continuons-je on a publié l'information sur Danaghi dans un rapport du Syntzen Lab dans ce contexte on a réussi à donc tracer les domaines du stage 1 et c'est l'étape 2 alors on les a reliés à 11 autres domaines et 60 autres domaines pour l'étape 2 quand on avait ça, la question c'est est-ce qu'on pouvait tracer ça encore plus loin alors on a commencé à regarder l'information Louise pour ces domaines ainsi que les entrées DNS le SOA on a remarqué quelque chose d'assez intéressant on a remarqué que cet adresse mail PN1G3P et un des domaines de l'étape 2 pointé vers sa site mais aussi par 3 autres domaines qu'on ne connaissait pas, ils n'étaient pas reliés à quelques identifications de l'étape 1 ou de l'étape 2 en fait on s'est rendu compte que c'est des sites qui avaient pour but de se faire passer pour Asra Arabia donc le site secret arabe et en fait c'est un site de rumeur dans le moyen d'un jour on a pu recouvrir, on a pu récupérer le contenu de ces sites on a pu trouver ceci ce code HTML qui a été envoyé et on peut voir qu'il montre le vrai site à Asra Arabia dans une e-frame qui prend tout l'écran à l'utilisateur mais il y a également une autre e-frame qui charge un autre site un petit peu étrange smsr.net slash un série de nombres donc on a commencé à regarder plus près on a regardé ce lien le plus près on a vu qu'il faisait une redirection vers smsr.net slash redirect.spx vous pouvez voir que c'est un peu étrange parce qu'il y a un format assez spécifique il y a deux redirections vers google et le titre est vide le corps est vide ça nous a marqué qu'on était assez étrange donc on a fait une empreinte de ceci et on a scanner tout internet en cherchant la même empreinte et on a utilisé un particular Zmap on a fait une requête guest avec Zmap pour se gagner tout l'internet et on a retrouvé 149 fantasipés qui étaient reliés à 149 dominants de domaine qui renvoyaient ce même code donc seulement 149 ça nous a marqué quand même étant quelque chose assez étrange peut-être qu'on avait mis le doigt sur quelque chose assez important on a commencé à décomposer ça pour voir un petit peu plus près on a vu que certains d'entre eux avaient pour but de se faire passer pour des portées gouvernementaux ou des organisations humanitaires comme la Croix-Roux ou des médias des avions ou d'autres choses on peut voir également qu'il y avait volontairement des fautes de frappe Al Jazeera qui était mal écrit.co par exemple on a vu également d'autres résultats qu'il y avait beaucoup de domaines qui contiennent le terme de SMS ça se nous a marqué quand même étant étrange pourquoi vous avez autant de domaines qui se font passer pour quelque chose et d'autres domaines qui contiennent le terme de SMS peut-être que si vous attaquez des téléphones mobiles et si les gens reçoivent un lien dans lequel il y a marqué SMS ils ont plus de chance de cliquer dessus donc on se dit peut-être que ces domaines 169 domaines sont prévus pour s'attaquer à des clients mobiles oui, nous ne sommes pas tendus nous sommes demandé des autres en de principale chance qu'ils nous faisons c'est travailler avec les sites qui sont c'est-à-dire nous sommes tendus nous sommes regardés nous avons développé des fingerprints des différents sites, des différents choses qu'ils ont utilisé là-bas pour voir dans quel autre endroit ils ont pu être utilisés est-ce que nous avons fait, est-ce que nous avons exploité le principe des ciblés un groupe de gens c'est-à-dire quand les saveurs se demandent lignes durant beaucoup de temps en fait c'est une des fonctions principales de notre façon de fonctionner en regardant les empreintes de ces différents logiciels qui sont utilisés on a trouvé une liste de gouvernements d'utiliser cette technologie on a fait une chose en 2015 pour film feature et le logiciel toujours en prenant les empreintes donc mes retours à notre cas en août 2016, on a reçu un message de Hermet Monsour qui est, comme on l'a dit dans l'introduction quelqu'un qui défend les droits humains Monsour nous a dit, les gars, je crois qu'on me cible à l'heure actuelle comme cible de nouveaux parents et nous on l'a cru parce qu'en 2011 Monsour avait déjà été ciblé par film feature c'est un exe qui était caché en PDF et puis comme on ne voulait pas laisser tranquille de nouveau ciblé en 2012 par une attaque cette fois-ci avec un attaque par un document et un vieil exploit alors on a fait attention à ce qui se passait et ce qui nous a montré, c'est 2 SMS qu'il avait reçu qui peuvent se réduire ainsi de nouveaux secrets sur des émiratis torturés dans les prisons d'État quelque chose qui est lié à son travail non pas seulement en tant que defendeur des droits humains mais également lui en part de manière personnelle puisqu'il a également été mis en prison pour son travail pour son travail personnel c'est une belle attaque, on va mordre on a décidé de prendre demande à l'AMSON et de voir ce qu'il avait derrière ces liens que Monsour nous avait transmis qu'est-ce qu'on a fait ? on s'est dit, on va ouvrir ceci sur un iPhone il a reçu ces liens sur son iPhone 6 nous on a un iPhone, on va le remettre à zéro et on va le connecter à internet via un ordinateur portable comme le lien était en HTTPS on voulait pouvoir tout capturer donc on a mis un proxy manu de middle avec Wireshark sur l'ordinateur portable et on a installé un faux certificat racine sur l'iPhone et on a transcrit le lien que Monsour nous avait donné dans safari sur notre iPhone tout le trafic passait à travers l'ordinateur portable on pouvait voir tout le trafic, on pouvait capturer ce qu'il avait derrière ceci ce qui va se passer ensuite va vous surprendre voilà ce que Wireshark nous montrait sur l'ordinateur portable la première chose évidemment c'est qu'on a envoyé le lien on a vu ce qu'on devrait accroiser à attendre une demande get pour le lien ce qui était un peu étrange ensuite ce qu'on a vu c'est environ 10 secondes après la fenêtre de safari sur l'iPhone s'est fermée très étrange, très inhabituelle première indication que vraiment peut-être il y a quelque chose d'étrange qui se passe quelque chose d'étrange sur ce lien ensuite on a vu le téléphone envoyé une autre recette du téléphone envoyé qui était la deuxième étape de l'attaque là un ensemble d'autres recettes sont apparus qui ont envoyé des informations de logging etc le statut au serveur et ensuite nous avons vu un message qui essayait de télécharger package bundle et c'est un message pour dire que ça essayait de télécharger fait México TES.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.ark.1.1.1.1.1.1. 2021.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.国aart.p.r pour l'analyse plugs et les listings l'admin le code le code il n'est pas le p.r玩 cocktail plugin le code scan Alors qu'est-ce qui s'est passé en pratique ? Qu'est-ce qu'on avait vu ? C'était le résultat, le résultat de trois exploits zéro-day. Le premier qui exploitait Safari, les deux suivants qui attaquaient et qui jailbraquaient et qui installaient une application sur le téléphone. Alors le payload, c'était quelque chose qui était capable d'enregistrer des messages de la voie et tout autre type de données dans même d'autres applications sur le téléphone. Et pour ceux d'entre vous qui viennent au CCC depuis un certain temps, on a montré les artefacts qu'on a reçus à nos amis chez Lookout et ce charmant monsieur ici à droite de Pegasus Internet a travaillé dessus, avait travaillé dessus, déjà travaillé d'IonDoc, fait une présentation au jour 1 de CCC sur Pegasus. Donc effectivement on s'est également rendu compte avec Lookout qu'il était temps de faire, de révéler de manière responsable à Apple les informations qu'on a eues, ce qu'on a fait. Ce qui est effectivement intéressant, c'est que c'était le premier point de jailbraque à distance d'IOS qui a été rendu public. Et ce genre d'exploit n'est pas gratuit de loin. Zerodium par exemple offre 1,5 million dollars pour ce genre de technologie. Mais ça a également attiré l'attention de médias plus populaires, même Vanity Fair a publié un article en demandant qui volent les secrets des stars de la Silicon Valley. Donc vraiment qui a volé ces secrets de la Silicon Valley ? Alors qui est derrière ça ? Alors souvenez-vous, on a fait ce scan avec Z-Map, on a trouvé 149 adresses, 149 domaines à Peucal et Zetelier, donc les domaines étranges à CMSR.net. Ça nous a pas vraiment aidé à attribuer à la chose. On avait les adressés, on avait les domaines, il n'y avait pas vraiment d'indices. Mais l'étape suivante, c'était évidemment de renouveler en passé. Et évidemment, on n'est pas retourné dans le passé. On a juste utilisé des données historiques de scan d'Internet. Et on a regardé ces 100 cartes d'adressés. Comment est-ce que ce sont comportés par le passé ? On a trouvé que sur 159, 19 avait une réponse différente dans le passé à une requête GAT sur le port 80. Et c'était une autre élection Google, un peu étrange. On peut voir qu'il y a du unico de début. Il y a des seuls à la ligne assez étranges là-dedans. Ça a l'air assez bizarre. Et il y a toujours le titre et le titre et le corps qui sont vides. Intéressant. Donc notre question suivante, c'était ok. 19 adressés, on voit ça. Mais combien d'autres envoient ça dans ces données historiques des scans ? Alors on a vu que c'était envoyé à peu près par notre 80, à peu près. Donc des adressés sur lesquels pointaient 3 domaines intéressants. nsoqa.com, mail1.nsogroup.com Et le nsogroup, évidemment, est un vendeur de spyware basé en Israël. C'est un quelque d'écran de leur brochure publique qui montre qu'il contrôle effectivement le nombre de domaines nsogroup.com et les deux autres domaines qui sont marqués là sont également, appartenent également à des gens qui sont liés à nso qui utilisent un résumé nsogroup. Alors la brochure du groupe nso nous montre que c'est un leader dans le milieu de la guerre sur Internet. Ils ont un système qui s'appelle Begazus qui permet de surveiller et de ressentir l'information et que c'est exclusivement à l'usage des agences de renseignement et des gouvernements de l'application de la loi. Alors Mansoor était le premier qu'on a trouvé mais c'était pas le seul qu'on a trouvé. Voici Raphael Cabrera, un journaliste mexicain très courageux et nous sommes rentrés en contact avec Cabrera après qu'il avait reçu des SMS suspects également. Alors quelles étaient ces messages ? Alors il y avait des liens Facebook où il y avait des alertes sur son travail, des alertes sur les infos qui ont relié à son travail, des informations sur le découvert et des messages avec caractère sexuel qui se dépassaient un peu parce qu'ils n'étaient pas très bien faits. Il se trouve que soit les liens étaient raccourcis qui pointaient vers l'infrastructure qu'on avait trouvé ou qui pointaient directement vers l'infrastructure. Alors on devine que c'était en lien avec, c'était lié à son travail sur le scandale du Casablanca. En résumé, ce scandale, c'est la découverte que le président actuel de Mexico qui était avant un gouvernement de province a reçu durant son temps en tant que gouverneur a reçu une maison qui avait été vernée par une entreprise qui avait eu un droit de travailler et qui n'aura de faire de monter pendant qu'il était gouverneur. Mais ce n'était pas la seule chose qu'on a vu quand on a fait ce travail, on a vu qu'il y avait des attaques ciblées du Mexico, de Mozambique, au Qatar, des Mirarabini, en Gris, au Qatar et encore d'autres droits. Bien sûr, la question est qui était ciblée? Si vous occupez le chief cancer de cette société, Racking, vous pouvez croire que peut-être, cette désignée ciblée de terroristes, de pornographes, de criminels, nous appelons ça le fuglif. En cash tax donc. Mais de nouveau et de nouveau, il y a plus d'avidance qui, il était utilisé par la police contre les critiques des régimes, contre les défenseurs de droits humaines, par exemple. Hichand, en mémorat, défenseur de droits humaines à Marrakeur. Il est systématiquement procécuté par gouvernement. Il était ciblé avec un malvers commercial qui était ici dans l'audience. Il y a des journalistes aux États-Unis qui étaient ciblés, qui travaillaient dans nos gouvernements. Donc ce journaliste Ethiopien qui a été ciblé par son propre gouvernement. Alors, le gosseux gouvernement qui ne respecte pas les journalistes et ne respecte pas lui. Un opécien, Carlos Figaro, qui est dans l'opposition dans son pays. Ce qui est intéressant dans ces différents pays, c'est en ce qu'il y a à propos, ce qui est intéressant avec ces gens, c'est que c'est la priori des décidents à un minimum de dollars. Alors en fait, on voit la valeur monétaire de leur expression pour leur gouvernement dans le prix des malwares qui sont utilisés. Alors, basiquement, les technologies de surveillance commerciales vont être mal utilisées à hauteur du manque de surveillance et de comptes à rendre. Ce n'est rien de nouveau, c'est vraiment des choses que l'histoire nous montre et nous montre au sein des différents régimes. Notre opinion, c'est que le marché actuel de spyware est une preuve absolue que l'histoire se répète. Ceci étant dit, des problèmes qui ressortent plus en détail. Ça a été d'hier, les sciences et technologies qui sont vendues par des entreprises reçoivent beaucoup d'attention. Et les entreprises en particulier reçoivent aussi beaucoup d'attention qu'elles soient représentatives dans l'ensemble de nous. C'est particulièrement vrai quand un exploit zéro-day fait partie de la question. Mais ce n'est qu'une seule partie de la menace sur la société civile. Ce que je vais essayer de vous montrer, c'est que la part du lion des attaques de malware que nous on voit et qu'on observe au Sylvain Lab. Vous notez qu'il y a un biais de sélection, il y a certaines qu'on ne voit pas, évidemment. Mais ceci montre qu'il y a beaucoup de sophistication dans l'ingénierie sociale et l'utilisation de technologies minimum. On n'a pas besoin d'être très intéressantes les trucs si vous pouvez juste grimper par-dessus la barrière. Alors voici des choses intéressantes. Voici toutes les milliers d'attaques qu'on a suivies entre autres, une base au Tibet qu'on a pu voir. Et quand on suit les exploits qui sont utilisés dans la prolifération de zéro-day, on voit la prolifération de vieux exploits et très peu de zéro-days. Ce motif est très commun. Bien sûr, l'histoire ne s'arrête pas là. Et je ne vais pas vous dire que vous ne devriez pas faire attention à la surveillance commerciale. Comme je l'ai dit, les acteurs se concentrent sur la façon la plus simple d'entrée. Mais parfois la façon la plus simple d'entrée c'est effectivement les exploits zéro-day. En utilisant ces outils de surveillance commerciale. Et ce outil reçoit beaucoup d'attention mais je pense que c'est également important de concentrer sur cette surveillance commerciale qui n'est pas juste les outils, mais c'est également tout l'expertise qui est exportée qui est pour montrer comment faire une opération à succès. Si vous regardez comment les outils se comportent dans cet espace, ils ne vous vendent pas que le spyware. Ils vous le vendent évidemment. Ils vous vendent également le support, le soutien, l'information qui sont globalement des mises à jour pour vous apprendre à échapper de nouveau aux mises à jour de sécurité de l'autre côté. Ils vont montrer aussi comment apprendre à hacker de manière basique. Ils ne vendent pas que les outils. Ils vendent également la prolifération de ces outils et de leur utilisation. Alors, un des problèmes à plus hausse échelle qu'on a c'est qu'on se demande comment se défendre contre tout ceci. Le problème c'est suivant. On ne sait pas qui les prochaines activistes vont être. En fait, les activistes qui reviennent ne le savent pas. La question c'est comment on s'en a dit revenant où tout le monde utilise les outils financiers pour leur communication même leur communication le plus sensible. Comment est-ce qu'on sécurise ce monde-là ? Une stratégie potentielle c'est de c'est pardonner moi pour l'exploit par bol c'est de se transformer tous en décidant un million de dollars ça veut dire, en fait, augmenter le coût pour cibler une personne en particulier. Comment on fait ça ? Alors, il y a le modèle iPhone on crée un jardin fermé et on rend très difficile pour les utilisateurs de faire certaines activités donc on échange des libertés du théâtre pour la sécurité. On voit les éléments de ce modèle un petit peu comme Christophe Sauglian la pointe intérieure dans certains navigateurs extrêmement sécurisés qui abandonnent certaines libertés du théâtre pour de la sécurité. Mais un des problèmes de ce niveau-là c'est que les entreprises ont fait un très bon travail pour activer les activistes et attirer les gens qui vont utiliser ces outils qui sont de manière sensible et politiquement et beaucoup vont faire face à des attaques ciblées des réelles menaces et utiliser à l'heure actuelle des outils comme GML qui ne sont pas des outils prévus pour résister à ça c'est des outils qui sont les plus simples les plus agréables à utiliser mais même dans ces environnements un des défis c'est que les options qui permettraient de sécuriser ces groupes ne sont pas activées par défaut par exemple l'authentification à deux facteurs c'est un bon exemple c'est le fait de mettre le sandboxing dans les navigateurs qui n'est pas encore une norme au sein de l'industrie alors on a un petit peu ce qu'on pense que l'industrie pourrait faire mais qu'est-ce que vous pouvez faire dans le public ? merci John, vous êtes à fait remarquer de bons points alors la question c'est un monde diamantré comment on peut monter le coup et c'est une bonne question c'est quelque chose d'important à prendre en compte mais un autre point et un autre endroit sur lequel on travaille c'est de regarder pas seulement la forêt mais également s'intéresser aux arbres en eux-mêmes et c'est une expression en eux-mêmes mais c'est une expression que la science s'intéresse aux arbres, ce sont des gens qui sont vraiment ciblés par ces spaguards et les questions auxquelles on essaie de répondre qui sont ces outillateurs à haut risque et comment est-ce qu'ils sont ciblés dans le monde réel on devrait on essaie de créer des relations profondes avec les activistes et les groupes de la société civile et on les encourage à nous transmettre tout ce qu'ils reçoivent qui serait suspicious donc notre point de départ pour beaucoup de ces enquêtes comme vous avez vu le début de cette présentation c'est quelque chose qui est suspect ou qui est suspect d'être dangereux un artefact, un mail un fichier etc et ensuite on essaie de répondre à la question est-ce que c'est une attaque comment est-ce que l'attaque est faite qui est derrière cet attaque qui est l'attaquant et que d'autres fait l'attaquant et peut-on tracer ça et chercher d'autres activités bien sûr bien sûr on fait ça aux épisodes labs on a présenté des cas, des émirats à butmi et mon collègue John a fait beaucoup de travail là-dessus mais si on regarde John ici, sur la carte John n'est qu'une personne c'est quelqu'un très malin qui a beaucoup de talent et qui travaille très dur Bill a préparé ça quand je l'en mets mais malgré les meilleurs efforts de John il c'est impossible on peut préférer en sorte que John couvre toute la planète John n'a pas assez d'heures dans la journée pour se mettre en commun avec tous les groupes qui sont potentiellement ciblés et faire ce travail par le monde alors vraiment vraiment le problème c'est qu'on a besoin de gens pour travailler dans ce domaine plus de gens qui font le genre de le travail du modèle par exemple que fait System Lab sécurité sans frontières plus d'efforts de sécurité pas juste pour monter le coût mais également pour travailler sur ces cas individuels qui permettent d'éclairer la perspective générale donc en conclusion on aimerait juste vous proposer quelques pensées qu'on lui a demandé vu que c'était le sujet principal de notre présentation s'il avait des choses à dire au monde et à la communauté de la sécurité le message qu'il va faire passer c'est que faire défendre les droits humains ça devient de plus en plus difficile le travail qu'il fait essayer de communiquer avec les victimes et relier les victimes aux médias internationaux pour bien monter la tension sur leurs cas ça devient de plus en plus difficile parce que les gouvernements comme son gouvernement répondent de plus en plus de manière agressive Mansour lui-même a été frappé a été arrêté son passeport, sa voiture a été confisquée on se compense avec le gouvernement à voler à près 100 000 dollars de son compte en banque donc ces mesures de rétaliation, de réponse et une fois que cette technologie atteint les gouvernements comme celui de lui il pense certainement que ça sera utilisé contre lui et contre les activistes les décidents et d'autres personnes qui mettent en oeuvre leurs droits et qui sont bien légitimes donc il implore la communauté internationale et les technologistes de faire tout ce qu'ils peuvent pour faire en sorte que ces technologies dangereuses comme Hacking Team NSO, Film Fisher ne tombent pas entre les mains qui oppressent leur population alors avec ça nous voulons finir mais par remerciement de l'ingréditeur de cet événement cette conférence notre collègue Marabeyu Adam Sanft Adam Machache Michiehalo Marquis Boire Morgueille qui avait fait un bon travail un trasseur au gouvernement Apple Link qui avait travaillé avec nous et beaucoup de chercheurs qui ont que nous avons aidé beaucoup pour conclure un peu à l'interprétation qui nous vaut bien aider à travailler si vous avez des questions en oeuvre finie on voit des questions qui apparaissent n'hésitez pas à poser des questions qui vous rouleraient les lèvres il avait été des essais pour est-ce que tu penses que c'est de la meilleure manière de le faire des manières de restreindre la distribution on peut dire que notre travail sur NSO montre que ce qui se passe à l'actuel, la façon que c'est fait largement il se manque beaucoup de ressources pour arrêter la prolipération de ces outils et je pense que c'est aussi intéressant de voir comment les efforts ont été concentrés pour l'instant sur les outils d'intrusions et sur la vente d'expo mais également voir quelles sont les caractéristiques vraiment les plus importantes de ces organisations comme une t-shirt, NSO etc et mon avis les caractéristiques clés c'est pas juste ce qui ne vous donne pas juste les outils finalement n'importe qui peut vous donner l'outil c'est qu'ils vous tiennent la main ils vous aide à les utiliser, ils vous soutiennent ils vous donnent de la formation c'est ce paquet complet qui vraiment vous permet de partir de rien vous n'y connaissez rien et très rapidement vous permettent de savoir faire les choses et d'exploiter des activistes d'exploitation quelqu'un m'a récemment remarqué des régulations supplémentaires sont vraiment bon pour en se faire apparaître bientôt et nous on va être sûr en tant que communauté qu'on est sûr en tant que communauté que cette régulation fonctionne pour nous et soit équilibrée question numéro 2 avez-vous profilé quel est quel est par ails un été ciblé quel gouvernement ont d'argent pour payer euh quel paltais formes sont ciblés comment ça se fait bonne question, ça n'est pas beaucoup du cas il y a beaucoup d'attaques sophistiquées on voit des éléments de profilage avant le ciblage et dans le cas il est vu pour en parler les séries d'espoir qu'on voit sélectionnent et se déclenchent en fonction de quel appareil touche avec des groupes comme ms offre des services d'exploit par exemple le gouvernement peut créer un lien et le lien voit de manière dynamique sur quelle plateforme vous êtes peut-être basé sur le des entêtes dans votre requête et vous renvoie le bon spyware pour quel que soit votre appareil en fonction de votre appareil mais je pense que quand un gouvernement réfléchit et quand les attaquants se demandent sur quelle attaque je vais attaquer ils peuvent peut-être récupérer des informations à partir d'informations de spyware dans le pays peut-être qu'elle est les appareils les plus fréquents dans le pays mais peut-être la façon la plus intelligence de le faire c'est pas de se demander quelle est la plateforme mais c'est plutôt quelle est l'information comment je peux atteindre cette information où est-ce qu'elle est stockée peut-être qu'on veut accéder aux emails de quelqu'un la façon la plus simple est de faire ça ou peut-être qu'il y a des fichiers sur l'ordinateur de quelqu'un qu'on veut avoir et dans ce cas-là c'est cet ordinateur-là qu'on va s'attaquer d'autre côté c'est que d'autre côté l'invasion amateur de ça j'aime bien le demandeur de la question il y a-t-elle de métriques pour savoir combien de cet utile on nous a été utilisé dans les activités criminels et pour les décidents l'autre question peut-être avec cette technologie les utiles que ces gouvernements utilisent pu être plus dangereux contre les les espions de la campagne alors on regarde la deuxième question je pense que c'est un point intéressant si ces technologies n'étaient pas disponibles peut-être qu'ils seraient plus brutaux et ça te crée directement Jean je pense que ça montre un point philosophique majeur important est-ce qu'on regarde ce qui se passe et voit qu'il y a quelque chose de mauvais et on essaie de l'arrêter est-ce qu'on voit comment aller se faire ou est-ce qu'on essaie de réfléchir plus loin en termes de jeu d'échec et de se demander si je fais ceci et ce qu'ils vont faire je pense que ce qu'on veut c'est réfléchir voir les choses mauvaises qui se passent maintenant s'y attaquer directement et si des gouvernements commencent à torturer les gens en réponse à ça ça c'est une chose supplémentaire sur laquelle on s'attaque et sur laquelle on essaie de faire en sorte que ça s'arrête le point d'y penser c'est de penser que les sas sont très attirés par les logiciels d'intrusion et ça ne va pas aller en arme de plus en plus de communications chiffrées et de stibles ne sont pas dans leurs frontières donc en fait notre modèle devrait être d'augmenter le coût pour eux de commencer à faire ça on ne peut pas l'arrêter et on ne peut pas l'arrêter légalement non plus mais le but sur tous ces moyens par exemple entre autres le fait de vendre des burgers à ces vendeurs d'exploit peut-être même s'attaquer au comportement la majorité des attaques n'utilise pas d'attendre beaucoup de chaines et comment qu'est-ce qu'on peut faire pour faire le journaliste il est décident plus savant à propos de cette malvers et de cette problème je crois qu'on a eu cette conversation pour moi je pense que la question revient à quel objectif pour nous les histoires les plus importantes sont souvent les histoires du mal qui fait à des humains et les journalistes et leurs rédacteurs s'y prennent le temps ils auront sûrement le bon nez pour ça ils arriveront à bien faire les choses à mon avis, l'affaire qui est plus importante dans ce travail c'est de trouver comment remonter les cas réels sur le temps je peux dire de manière candid que les rédactions parfois, sans forcément dire de cette manière on en marre un peu de s'en vraiment dire comme ça encore un activiste qui a été ciblé au franchement ça c'est un problème avec lequel on est en train d'essayer de qu'on lutte et une façon d'aller vers l'avant c'est en fait d'aller de côté c'est trouver des cas où l'intrusion du hacking a été utilisée et était plus proche de chez nous à cette part, c'est moi le départ démocratique la politique ça peut aussi être des femmes quand t'as vu une victime de violence des gens qui sont ciblés ou qui sont suivis par des stalkers et je pense que plus de ces histoires d'histoires sur les gens aideront mais c'est vrai que c'est une bataille en cours et on est contents d'avoir un odeil zéro dé donc on peut nous parler pour avoir un point d'entrée mais c'est vrai que je pense que les journalistes sont aussi un rôle à jouer car on est en train d'avancer les intermédiaires dans l'industrie la relation entre ces individus et les gouvernements et en fait ce n'est pas direct il y a généralement entre les deux une entreprise des intermédiaires qui permettent de mettre ce cache-tac on n'est pas responsables on ne sait pas vraiment comment tout ceci est utilisé et ça permet d'abandonner leurs responsabilités ou d'aller autour de contourner des réglementations on peut trouver les commandes et contrôles on peut suivre les malwares et les relier aux gens on peut relier les deux côtés mais on n'a pas vraiment les moyens de s'attaquer aux intermédiaires et de les suivre et c'est un bon endroit pour les journalistes peuvent mettre du travail et un dernier point important pour essayer de conclure les cas qui ont reçu le plus d'attention de la presse dont l'expérience sont des cas où on peut montrer du mal qui a été fait concret à quelqu'un et on peut documenter ça et on peut montrer que par exemple quelque chose s'est passé à quelqu'un à beaucoup de quelque chose un truc de perspective journalistique sont les histoires les plus amusantes et les plus intéressantes c'est les plus sexistes sur les exploits des rodés et d'une façon plus traditionnelle je pense que les histoires où on peut relier toutes les pièces du puzzle cette personne a été sublée par ceci c'était pas quelque chose d'intéressant sexy ça a été utilisé avec sa manière des conséquences dans le monde réel et je pense que ça c'est le saint graal pour mettre ça en avant parce qu'en fin de compte la chose importante à mettre en avant la technologie finalement c'est quelque chose de secondaire la chose principale c'est les gens qui ont été ciblés et c'est les gens qui ont été souvent activistes qui ont été ciblés parce qu'on utilise le terme d'une épidémie de compromisation on en parle comme ce qu'il faut et tout comme historiquement tout comme historiquement le santé publique a eu des problèmes par exemple avec les médecins qui essaient de comment qu'ils fallait se laver les mains etc c'est difficile à faire passer comme message on voit le même genre de problème ici on voit beaucoup d'experts qui laissent tomber ou qui font pas attention quand on parle d'attaque qui utilisent ces outils basiques pourtant c'est pour ça que ça marche pour nous c'est vraiment un exemple où on veut arriver quelque part avec vous tous ou un endroit où ce genre de problème peut être tout aussi intéressant qu'un simple morceau de malwares pour qu'on puisse tout s'agir sur ce genre de choses merci beaucoup pour cette présentation mon question est de ma vie coditienne je vois beaucoup de stickers de la microphone et de sourire mais c'est peut être une indication qui nous aimons pas pas confiance d'un autre serve de logiciel c'est à quel point le logiciel est peu de confiance et légitime alors c'est un problème qui est compliqué et difficile avec une direction un peu différente je pense qu'on est un monde en temps où les gens n'ont pas beaucoup de confiance mais en particulier pour les tutors en général ils ne savent pas forcément ce qu'ils devraient faire quelle est la première étape à faire mais pas forcément tout avancé mais les choses basiques ce qu'on voit aujourd'hui beaucoup d'activistes beaucoup d'activistes qui ne savent pas vraiment par exemple d'où quels sont les comportements qu'ils devraient faire pour les gens et typiquement des autocollants sur les webcams font au moins un peu l'attention que les gens portent à ça les gens tournent vers nous en tant que communauté pour des choses simples qu'ils peuvent faire sans beaucoup de jugement et sans ce côté c'est vraiment un problème major important pour nous c'est ce que tu as dit jeune encore et encore les activistes et les dizaines que je parle nous parlent de toutes ces choses toutes ces choses qu'ils ont faite maison de la sécurité artisanale alors par exemple moi j'ai un système incroyable où j'arrête pas de changer les sim cards dans mon téléphone pour être anonyme et faire des coups d'appel à la différente personne ou j'ai le gébriquer mon iphone pour installer une deuxième copie de whatsapp pour avoir un numéro anonyme et un non anonyme alors je pense qu'il y a beaucoup d'idées comme ça un peu de mauvaises conceptions qui existent et dans cette vide d'informations d'autorité et de valeur les gens ne sachant pas se tournent vers tiens je pense aussi comment je pense que ça marche et non pas comment ça marche mais peut-être cette vision est faus malheureusement et qui du coup mène à des précautions de sécurité fausse également je pense que cette éducation est importante non pas pas forcément cette concepturité basique mais à plus long terme un effort à plus long terme pour apprendre aux gens comment ceci fonctionne peut-être pas une classe de 8h mais une présentation d'honneur peut-être quelque chose de pas à pas comment ça marche attention à ces autres choses merci merci super question et si il n'y a pas d'autres questions euh comme vous êtes si rapide messieurs vous avez privé l'opportunité de vous applaudir comme vous allez toujours très vite merci beaucoup pour cette présentation et si on n'a pas d'autres questions de la part du signal angel on va peut-être s'arrêter là ok très bien merci tous ah tiens qui me vient quelque chose pour la route quand on parle des groupes de la société civile de risques de sécurité numérique quelque chose qui a mis longtemps j'ai mis longtemps vers les yeux dessus c'est ce sont des agents de l'innocence non quelque chose que je découvre ce sont que les gens sont constamment en train d'équilibrer les risques auxquels ils font pas dans le domaine les ONG sont constamment en train de se poser les questions au niveau du risque politique de différents choix ce ne sont pas qui sont incapables de faire de la molétation du risque qui sont déjà en train de la faire en général la question c'est comment les aider à amener cette mode de pensée cette volonté qu'ils ont de penser à d'autres niveaux vers les niveaux technologiques on a beaucoup de chemins à parcourir ici et un des problèmes un des problèmes qu'on a à ce niveau là alors beaucoup de recommandations qu'on aurait envie souvent de donner rapidement de donner rapidement aux gens oh tiens tu devrais étudier cet outil en particulier parce qu'il s'est causé généralement ne s'adapte pas exactement à leur besoin mais en plus n'approche pas la nuance de rendre pas vraiment dans la nuance avec laquelle eux ils ont leur réflexion et ne les aient pas vraiment finalement peut-être que je peux apporter une dernière anecdote pour cristalliser ceci et pour le montrer moi je travaille avec des activistes au barrain vous avez peut-être entendu l'histoire il y a quelques années qu'un groupe d'activistes ont été arrêtés en étant tracés à travers cette application de messagerie qu'on utilisait, on a analysé celle-ci c'était une application peu sécurisée qui s'appelait Zelo et de base notre réflexion c'était bon bah alors recommandons leur une autre application plus sécurisée mais la raison pour laquelle j'ai utilisé Zelo et cette application pas sécurisée c'est que c'était la seule qui se pouvait trouver, qui leur donnait une fonction de Tokiwoki et la façon que tu l'utilisais c'est que un activiste dormait dans son lit il avait son téléphone à côté de son lit et si jamais la police venait quelqu'un se mettrait sur Tokiwoki et réveillait tout le monde et les gens se réveilleraient tout de suite des douzaines de personnes se réveillait et attention il y a un attaque de la police sur le village et du coup ils pouvaient pas aborder c'est tout de suite parce que c'était une de leur façon de gérer le risque d'être arrêté par la police et ce risque de l'interception numérique était goutton secondaire par rapport à leur utilisation principale je pense que c'est un point vraiment principal quelque chose à ajouter ? non ? merci à tous, merci beaucoup merci beaucoup de votre accueil ici et de notre côté c'est la fin